昨年1年を通じて、政府関係機関は数多くのランサムウェア攻撃に見舞われました。ZDNetによれば、2021年上期には、政府関係機関を狙ったランサムウェア攻撃が、他の業種よりも多かったと言います。

そのため、この時期での、政府関係機関におけるランサムウェアの感染件数が前年の3倍を記録したのも当然と言えるでしょう。2021年6月には、事態はさらに深刻になりました。この月に公共機関に仕掛けられたランサムウェア攻撃の数は、他の業種の10倍に達し、その増加率は917%を記録しています。

ランサムウェア攻撃が政府関係機関を狙う理由

ランサムウェア攻撃が公共機関を狙うのにはいくつかの理由があります。たとえば、この種の組織には、機密性のきわめて高い情報が多く保管されている傾向があります。そのため、被害者から盗み出した情報をダークWebで金銭に変えようと画策する攻撃者や、情報を流出させると脅す二重脅迫を企む攻撃者にとって、公共部門の組織は興味をそそる攻撃対象になっているのです。

さらには、政府関係機関がある種の複合体になっている点も関係しています。政府関係機関には、さまざまな種類の業種が交差する場としての性格があると、GovTechは指摘しています。これらの組織では、第三者や外部の業者に業務を委託しているのです。このような業務運用面での複雑さがあるために、攻撃を受ける可能性のある領域が広がっており、数多くの侵入経路をサイバー犯罪者に与えてしまっています。

政府関係機関の組織がランサムウェア攻撃に苦しむ理由

中央政府と地方自治体などの公共機関には、セキュリティの基盤が欠けています。たとえば、2019年にミシシッピ州の州監査当局が発行したレポートには、「州政府がサイバーセキュリティを軽視している実態」が明らかにされています。

州レベルの公共部門の組織では、その多くで、セキュリティポリシーや復旧プランが存在しないと、レポートは述べています。必要なリスク評価や、機密性の高い情報の暗号化も実施されていないと言うのです。

この年には、米国の地方自治体に関しても同様の報告がなされています。メリーランド大学ボルチモア校の報告によれば、米国の地方自治体では、準備とそのための予算が不足していることが、サイバーセキュリティの取り組みで深刻な障壁になっていると言います。

これらの状況を踏まえると、地方自治体の3分の1以上がセキュリティインシデントの発生頻度を把握しておらず、ローカルレベルの公共機関の3分の2は自身が侵害を受けているのに気付いていないというのも当然と言えましょう。

これらの報告の内容は、RansomOps™という複雑な攻撃が出現している現状では、ゆゆしき事態であると言えます。これまでの一般的なランサムウェア攻撃は、個人を標的にする単純な「spray and pray」型の攻撃で、要求する身代金の額も多くはありませんでした。不正なリンクをクリックしたり、マルウェアの仕込まれたドキュメントを開いたりするようしむけるスパムフィッシングメールを介して標的に感染するのが一般的です。しかし、RansomOpsは、このようなランサムウェア攻撃とはまったく異なります。

RansomOpsは、高度に標的を絞った複雑な攻撃で、APT攻撃にずっと近く、攻撃者はできるだけ数多くのネットワークにアクセスしてから、ランサムウェアのペイロードを展開し、数百万ドルもの身代金を要求しようとします。このような性格から、RansomOpsは、あまり強固でない防御ラインは容易にすり抜けてしまう傾向があります。

通常、RansomOpsの攻撃には、個々に専門の役割を持ち、大規模なランサムウェアエコノミーで活動する複数の犯罪者が関与しています。イニシャルアクセスブローカー（IAB）は、パーシステンスの確立を行い、ラテラルムーブメントを通じてできるだけ多くのネットワークを侵害し、盗み取ったネットワークのアクセス権限を他の犯罪者に売り渡します。

一方、RaaSプロバイダーは、ランサムウェアや決済メカニズムの提供を行い、標的との交渉を担当することもあります。アフィリエイトは、RaaSプロバイダーと接触し、実際の攻撃に従事します。また、仮想通貨の交換サービスを行う犯罪者は、身代金の資金洗浄などを担います。

公共部門の組織がランサムウェアの攻撃を防ぐには

「国家サイバーセキュリティの向上に関する大統領」の中でホワイトハウスは、ランサムウェア攻撃などの「サイバーインシデントをプロアクティブに検知できるよう、EDR（Endpoint Detection and Response）を導入する」ことを、連邦一般行政部（FCEB）の各機関に義務付けると述べています。

しかしもはや、ランサムウェア攻撃の及ぼす影響は単一のエンドポイントにとどまりません。RansomOpsの場合、攻撃はネットワーク全体に拡散し、クラウドのワークロードや生産性アプリケーション、運用環境などに影響を与えているのです。

そのため、複雑なランサムウェアの攻撃を防ぐうえで重要になるのが、既知の種のランサムウェアを検知できる以上の能力です。ペイロードが拡散してしまった後に、暗号化されたデータを復旧しようと、時間のかかる信頼性の乏しい「ロールバック」のアプローチに頼っているようでは、対策が不十分です。

RansomOpsに対処するには、攻撃を最も初期の段階で検知できる能力が求められます。ランサムウェアが侵入する段階や、ラテラルムーブメントが実行される段階、ユーザーIDが侵害される段階、特権の昇格が行われる段階、コマンド&コントロールが確立される段階、データが盗取される段階など、キルチェーンの複数のポイントでランサムウェアの攻撃を阻止できる手段も必要です。

ランサムウェア攻撃を防ぐには実効性の高い対策が求められる

ランサムウェア攻撃のリスクの影響を最小限に抑える最善の方法は、一連の攻撃の流れの中で早期に攻撃を検知して攻撃を阻止する方法です。サイバーリーズンは、ランサムウェアとの戦いで無敗を誇る唯一のセキュリティプロバイダーです。Colonial Pipelineを操業停止に追い込んだDarkSideランサムウェアや、食肉加工大手のJBSとITサービスプロバイダーのKaseyaを混乱に陥れたREvilランサムウェア、Accentureに打撃を与えたLockBitランサムウェアを含め、あらゆる系統のランサムウェアからすべてのお客様を守ります。

サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR（Managed Detection and Response）」と呼ばれる監視代行のマネージドサービスも提供しています。

【ホワイトペーパー】ランサムウェア対策ガイド～二重脅迫型など進化するランサムウェアから情報資産を守るために～

近年、世界中で深刻な問題となっているランサムウェア。

このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/